SurveyMonkey leverer tjenestene sine verden rundt ved hjelp av sine globale underbehandlere. I vår kontrakt med deg forplikter vi oss til at alle overføringer av personopplysninger til oss er i samsvar med gjeldende personvernlovgivning. Vi overfører kun personopplysninger videre til underbehandlere som beskytter personopplysningene dine med sikkerhetstiltak som er like strenge som de vi bruker for personopplysninger vi har under vår kontroll.

I tillegg til dette samsvarer de supplerende tiltakene våre med kjennelsen 16. juli 2020 fra Domstolen i Den europeiske union («CJEU») i Case C-311/18, Data Protection Commissioner v Facebook Ireland Limited and Maximilian Schrems («Schrems II») og Det europeiske personvernrådets («EDPB») veiledning om supplerende tiltak.Du finner detaljert informasjon nedenfor.

Se personvernreglene for å få mer informasjon om hvordan vi behandler personopplysninger generelt.

Del I: Overføringer til SurveyMonkey

Del II: Videre overføringer til underbehandlere

Hvis du er kunde i USA, omfatter kontrakten din et tillegg om personvern («DPA») med SurveyMonkeys enhet i USA: SurveyMonkey Inc. Hvis du er Enterprise-kunde med brukere i EØS («Det europeiske økonomiske samarbeidsområdet»), Storbritannia eller Sveits, og derfor trenger en overføringsmekanisme for brukerdata til SurveyMonkey, kan du be om at vi legger til relevant overføringsmekanisme. Hvis du er selvbetjent kunde, inneholder DPA-en vår på nettet disse overføringsmekanismene automatisk.

I tillegg til standard kontraktsbestemmelser (Standard Contractual Clauses, også kalt «SCC-er»), er SurveyMonkey Inc. også selvsertifisert under personvernrammeverket («DPF-et») for EU og USA, den britiske utvidelsen av DPF-et for EU og USA samt DPF-prinsippene for Sveits og USA. Dette betyr at personvernmyndighetene i EU, Storbritannia og Sveits anser behandlingen vi utfører som «tilstrekkelig» under artikkel 45(3) i GDPR (og tilsvarende nasjonalt reglement).

Hvis du er kunde i EØS, Storbritannia eller Sveits, omfatter kontrakten din et addendum om personvern («DPA») med SurveyMonkeys enhet i Irland: SurveyMonkey Europe UC. Siden overføringen fra deg til SurveyMonkey er mellom enheter i Europa (eller mellom enheter som har anerkjent hverandres tilstrekkelighetsstatus), kreves det ingen andre mekanismer.

Hvis du er kunde utenfor USA, EØS, Storbritannia eller Sveits, men du har brukere i EØS, Storbritannia eller Sveits og må sikre at det finnes en overføringsmekanisme for videre overføring, skal kontrakten din inneholde en DPA med SurveyMonkeys irske enhet, SurveyMonkey Europe UC. Hvis du er Enterprise-kunde, kan du be oss om å inkludere den relevante overføringsmekanismen. Hvis du er selvbetjent kunde, inneholder DPA-en vår på nettet disse overføringsmekanismene automatisk.

Du overfører personopplysninger til SurveyMonkey, slik at vi kan behandle personopplysningene for de følgende formålene:

Du bør vurdere om du overfører data for andre formål.

Kundens personopplysninger som overføres til SurveyMonkey, kan inneholde så mange eller så få personopplysninger som du velger å innhente i spørsmålene i spørreundersøkelser, skjemaer og spørreskjemaer. Siden plattformen har den funksjonen den har, antar vi at du innhenter et stort utvalg av personopplysninger, deriblant data som potensielt faller i spesialkategorier. 

Informasjon vi innhenter spesifiseres i avsnitt 2 i personvernreglene.

Som bemerket ovenfor, er kontrakten din med en SurveyMonkey-enhet i USA eller Irland – avhengig av hvor du befinner deg. Basert på råd fra eksterne kilder som er spesialister innen personvern og analyse av lovene SurveyMonkey er underlagt, mener vi at risikoen knyttet til den juridiske ordningen i USA er lav, og at risikoen knyttet til den juridiske ordningen i Irland ikke er vesentlig for registrerte. Se avsnittet «Supplerende tiltak: Organisatoriske» nedenfor for mer informasjon spesifikt for amerikansk lovgivning.

Selv der det er lav eller ingen vesentlig risiko på grunn av den juridiske ordningen i mållandet, har SurveyMonkey implementert supplerende tiltak for å beskytte personopplysninger. De supplerende tiltakene er delt inn i tre kategorier: (i) kontraktsmessige, (ii) organisatoriske og (iii) tekniske beskyttelsestiltak. 

Som beskrevet ovenfor, godtar SurveyMonkey å inngå standard personvernbestemmelser (SCC-er) med kunder. Schrems II-dommen viser at parter kan bruke SCC-er og (der det er relevant) ytterligere beskyttelsestiltak for overføring av personopplysninger fra Storbritannia, Sveits og EØS («Europeiske data») til USA. Hvis du har inngått en avtale med eller på andre måter mottar tjenester fra SurveyMonkey som krever at SurveyMonkey behandler personopplysningene til registrerte i Europa, kommer SurveyMonkey (der det er relevant, avhengig av SurveyMonkey-enheten du inngår kontrakt med) til å: 

Hvis du vil ha mer informasjon om avtalen vår om å være bundet av standard kontraktbestemmelser, kan du se vilkårene for bruk (for selvbetjente kunder), den gjeldende tjenesteavtalen (for SurveyMonkey Enterprise- eller GetFeedback Digital-kunder) eller eventuelle andre avtaler du har forhandlet deg frem til med SurveyMonkey.

CJEUs bekymringer om overføringer av data til USA var basert på de amerikanske myndighetenes innhenting av data i henhold til US Executive Order 12333 («EO 12333») og i henhold til avsnitt 702 av Foreign Intelligence Surveillance Act («FISA § 702»), spesielt «oppstrøms» overvåkning i henhold til FISA § 702.  Risikoen disse amerikanske juridiske bestemmelsene utgjør, gjelder enten ikke for SurveyMonkeys behandling av personopplysninger eller kan bli tilstrekkelig minsket av organisatoriske beskyttelsestiltak som SurveyMonkey tilbyr.

I tillegg har Europakommisjonen den 10. juli 2023 vedtatt en avgjørelse om tilstrekkelighet for personvernrammeverket for EU og USA.Avgjørelsen om tilstrekkelighet konkluderer med at USA skal påse tilstrekkelig vern, tilsvarende EUs, personopplysninger som overføres fra EU til selskaper i USA som tar del i personvernrammeverket for EU og USA.

Avgjørelsen om tilstrekkelighet kommer etter at USA signerte et presidensielt dekret som skal «forbedre sikkerhetstiltakene for amerikanske signaletterretningsaktiviteter» som introduserte nye, bindende sikkerhetstiltak for å behandle poeng som ble tatt opp av EU-domstolen i Schrems II-avgjørelsen fra juli 2020. Spesielt skal de nye forpliktelsene sikre at amerikanske etterretningstjenester bare kan få tilgang til data i den grad det er nødvendig og forholdsmessig, og for å etablere en uavhengig og upartisk avhjelpingsmekanisme for å håndtere og løse klager fra europeere angående innhenting av deres opplysninger for nasjonal sikkerhet (se: https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752).

SurveyMonkey er ikke kvalifisert til å bli underlagt «oppstrøms» overvåkningsordre eller masseovervåkningsordre i henhold til FISA § 702. SurveyMonkey Inc. handler, delvis, som en elektronisk kommunikasjonstjeneste («ECS») og også potensielt en ekstern databehandlingstjeneste («RCS») (som definert i avsnitt 2510 og 2711 av Title 18 USC.) i forbindelse med visse tjenester eller produktfunksjoner vi leverer til kunder.  SurveyMonkey Inc. er derfor blant den store gruppen bedrifter som de amerikanske myndighetene kan forkynne et målrettet direktiv til i henhold til FISA § 702.  Som de amerikanske myndighetene har tolket og brukt FISA § 702, er imidlertid ikke SurveyMonkey kvalifisert til å motta den typen ordre som var hovedbekymringen til CJEU i Schrems II-dommen – dvs. en FISA § 702-ordre om «oppstrøms» overvåkning.  Som de amerikanske myndighetene har brukt FISA § 702, bruker de bare oppstrøms ordre til måltrafikk som går gjennom ryggradsleverandører av internett som leverer internettrafikk for tredjeparter (dvs. telekommunikasjonsoperatører).  Du kan for eksempel se rapporten til Privacy and Civil Liberties Oversight Board, Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (2. juli 2014), pp. 35–40, som er tilgjengelig på https://fas.org/irp/offdocs/pclob-702.pdf.  SurveyMonkey leverer ikke slike ryggradstjenester for internett da vi bare leverer trafikk som involverer våre egne kunder.  Som et resultat er vi ikke kvalifisert til å motta den typen ordre som hovedsakelig tas opp i, og anses som problematisk av, Schrems II-dommen.

SurveyMonkey har ikke mottatt noen direktiver i henhold til FISA § 702, og det er usannsynlig at vi kommer til å motta noen. På datoen for denne erklæringen har ikke SurveyMonkey mottatt noen direktiver i henhold til FISA § 702 og har ingen grunn til å tro at et slikt direktiv blir gitt til SurveyMonkey.  SurveyMonkeyt er veldig usannsynlig at personopplysningene SurveyMonkey behandler for kundene våre – tilbakemeldinsdata – er relevante for aktivitetene for utenlandsk etterretning som styres av FISA § 702.  I tillegg, i tilfelle slike personopplysninger blir relevante for slike undersøkelser, er det mer sannsynlig at myndighetene ber om slike data via andre typer juridiske prosesser (for eksempel en ransakingsordre utstedt av en dommer) som overholder de høye standardene for statlig tilgang til data som beskrives i Schrems II-dommen.  Dette er fordi det hadde vært mye raskere og enklere for myndighetene å be om en ordre eller ransakingsordre i henhold til noe annet enn FISA § 702 enn å iverksette mekanismene som kreves for at myndighetene skal forkynne direktiver til SurveyMonkey i henhold til FISA § 702.

SurveyMonkey assisterer ikke – og kan ikke beordres til å assistere – amerikanske myndigheter i innhentingen deres av informasjon i henhold til Executive Order 12333. SurveyMonkey gir ikke og kommer ikke til å gi assistanse til amerikanske myndigheter som utfører overvåkning i henhold til EO 12333.  EO 12333 gir ikke de amerikanske myndighetene evnen til å tvinge bedrifter til å gi assistanse med disse aktivitetene, og SurveyMonkey kommer ikke til å gjøre det frivillig.  Som et resultat gjør ikke SurveyMonkey – og kan ikke beordres til å gjøre – noen handlinger for å legge til rette for den typen masseovervåkning i henhold til EO 12333 som Schrems II-dommen mente var problematisk.

SurveyMonkey gir en rekke tekniske tiltak som videre bekjemper kjernemanglene som oppgis i Schrems II-dommen som det henvises til ovenfor (masseovervåkning i henhold til FISA § 702 og masseinnsamling av teledata i henhold til EO 12333).  

SurveyMonkey krypterer alle data under oppbevaring i våre datasentre ved hjelp av AES 256-basert kryptering. I tillegg krypterer SurveyMonkey alle data under overføring med (i) RSA med sertifikater basert på 2048-biters nøkkellengde som genereres av en offentlig sertifiseringsinstans, for kommunikasjoner med instanser utenfor SurveyMonkeys datasentre, og (ii) RSA 256-sertifikater generert via en intern sertifiseringsinstans for alle data i datasenteret.  Dette krypteringsarbeidet har mål om å forhindre uautorisert anskaffelse av data i en lesbar form og forhindring av uautorisert avlytting/tukling når data overføres mellom to endepunkter. 

Dataene til noen SurveyMonkey-kunder (for eksempel kunder av GetFeedback Digital) blir bare lagret i EU. I disse tilfellene blir ikke dataene lagret i USA, og bare veldig minimal tilgang til dataene skjer i USA for begrensede formål (for eksempel for å levere kundestøtte ved forespørsel, for å følge sun-sikkerhetsstøtten og/eller begrenset teknisk ressursbruk for å løse tekniske problemer/feil eller bygge ut systemene våre).

SurveyMonkey opprettholder også strenge administrative, tekniske og fysiske prosedyrer for å beskytte informasjon som er lagret på serverne deres. Tilgang til personlig informasjon begrenses med påloggingslegitimasjon til ansatte som trenger det for å utføre jobbfunksjonene sine. SurveyMonkey implementerer teknikker for dataminimering for å begrense mengden personopplysninger som overføres fra EU til tredjepartsjurisdiksjoner til å inkludere, der det er passende, pseudonymisering eller avidentifisering av data. I tillegg bruker SurveyMonkey tilgangskontroller som flerfaktorautentisering, enkel pålogging, tilgang bare når det er nødvendig, sterke passordkontroller og begrenset tilgang til administrative kontoer.  

I tillegg er SurveyMonkey, som en ECS/RCS, underlagt amerikanske Electronic Communications Privacy Act, 18 USC. § 2701, et seq.  («ECPA»), som gir beskyttelse til SurveyMonkeys kunder.  For eksempel forbyr ECPA statlige instanser fra å be om informasjon om kunder av tjenester som SurveyMonkey med mindre slike statlige instanser først gjennomgår en passende juridisk prosess, inkludert å motta en rettskjennelse eller ransakingsordre for annen informasjon enn grunnleggende abonnentinformasjon.  I tillegg gir både FISA og ECPA SurveyMonkeys kunder oppreisning mot de amerikanske myndighetene (inkludert erstatningsbeløp eller disiplinærtiltak mot de relevante myndighetene) hvis de får tak i informasjon om kunden på uriktig måte (se 18 USC. § 2712).

Videre har SurveyMonkeys langvarige eksterne juridiske rådgiver erfaring med å svare på forespørsler fra amerikanske myndigheter om brukerdata, inkludert forespørsler for amerikansk nasjonal sikkerhet i henhold til FISA § 702.  SurveyMonkeys retningslinjer er å eskalere alle slike forespørsler til SurveyMonkeys eget interne samsvarsteam og, ved behov, til ekstern rådgivning for gjennomgang.  Der det er passende akter SurveyMonkey å bruke tilgjengelige juridiske mekanismer for å utfordre krav om datatilgang i henhold til FISA § 702 (inkludert bestemmelser om hemmeligholdelse eller ordre vedlagt dertil) i det usannsynlige tilfellet SurveyMonkey mottar et slikt krav.  Kravet hadde deretter blitt gjennomgått av en amerikansk domstol (FISA-domstolen). 

SurveyMonkey anerkjenner også at en ordre om å gi datatilgang i henhold til FISA § 702 krever at SurveyMonkey varsler kundene våre om at vi ikke lenger kan overholde de standard personvernbestemmelsene, noe som lar dem si opp avtalen sin med oss og suspendere dataflyt til oss.  Vi har aldri hatt behov for å utstede et slikt varsel.

Med hensyn til analysen ovenfor tror vi at risikoen for skade for den registrerte ikke er materiell.

Tabellen nedenfor oppsummerer konklusjonen vår for vurderingen av overføringsinnvirkning.

«Uvesentlig risiko» betyr at personopplysninger overføres mellom to enheter som begge befinner seg innenfor EØS (Det europeiske økonomiske samarbeidsområdet).

«Lav risiko» betyr at importøren/mållandet er utenfor EØS, men at overføringen finner sted med en mekanisme som er godkjent av GDPR og at støttetiltak er iverksatt. Eventuelle gjenværende risikoer som er identifisert i en TIA er redusert.

«Middels risiko» vil si at importøren/mållandet er utenfor EØS, men at overføringen finner sted med en mekanisme som er godkjent av GDPR og at støttetiltak er iverksatt. Det gjenstår fortsatt noen risikoer som er identifisert i en TIA.

«Høy risiko» betyr at importøren/mållandet er utenfor EØS, men at overføringen finner sted med en mekanisme som er godkjent av GDPR og at støttetiltak er iverksatt. Det gjenstår fortsatt betydelige risikoer som er identifisert i en TIA.

Underbehandlere er SurveyMonkey-leverandører som behandler personopplysningene til brukerne dine for å hjelpe SurveyMonkey med å levere tjenesten til deg. Alle SurveyMonkey-underbehandlere er bundet av kontrakt til å beskytte personopplysningene med beskyttelsestiltak som ikke er mindre enn standarden vi følger for personopplysninger vi kontrollerer.

Når SurveyMonkeyoverfører personopplysninger til underbehandlere, utfører vi en vurdering av overføringsinnvirkning («TIA») som minner om trinnene som vises ovenfor. Vi gjør dette for å sikre at personopplysningene dine beskyttes i hvert trinn, som påkrevd av personvernlovgivning og kontrakten vår med deg. Vi har gitt et sammendrag over de fremtredende punktene av TIA-en for hver underbehandler nedenfor.

Merk at ikke alle underbehandlere brukes i leveringen av alle tjenestene våre. Listen vår over underbehandlere er segmentert inn i spesifikke SurveyMonkey-tjenester. 

Hvis du vil motta e-postvarslinger om oppdateringer i listen over underdatabehandlere, kan du abonnere her.

Last ned et PDF-dokument med nåværende underbehandlere her.